GithubHelp home page GithubHelp logo

signfinder's Introduction

SignFinder

Tool for easy clean PE32 from AV signature

Manual [RU]

SignFinder - утилита для быстрого поиска сигнатур антивирусов в pe32 файлах

Update

Софт постепенно обновляется

27.07.16:

  • Новый парсер аргументов, изменён их порядок.
  • Отдельная папка для каждого режима, в имени которой отражены аргументы
  • Добавлен режим info
  • Опциональный аргумент -p для режима sect

Пример работы

Можно посмотреть на youtube

Info mode

Информация о секциях, в пригодной для софта системе счисления.

python SF.py path_to_exe info

Fast mode

Быстрый режим призван определить какого толка сигнатура нас беспокоит:

  • Эмулятора
  • Импорта
  • Секций

Создаются следующие типы файлов:

  • ALL_SECTION - стёрты все секции
  • ALL_SECTION_NOT[0].text - стёрты все секции кроме первой, под именем .text
  • SECTION[2].data - стёрта только третья секция, под именем .data
  • EMUL - на точку входа эмулятора поставлен выход. Он прекратит свою работу и детект эмулятора исчезнет.
  • IMPORT - весь импорт перезатёрт - если сигнатура стояла на импорте - она пропадёт.

Вызов:

python SF.py path_to_exe fast

Header mode

Методом исключения, если затирание секций оставляет детект - сигнатура стоит на оставшихся заголовках pe32. Данный режим затирает каждое поле по отдельности, создавая файлы типа:

  • IMAGE_DOS_HEADER-e_cblp
  • IMAGE_OPTIONAL_HEADER-AddressOfEntryPoint

Вызов:

python SF.py path_to_exe head

Section mode

Это режим работы с конкретной секцией, она делится на N участков одинакового размера и в каждом файле стёрт свой участок. Указывается порядковый номер секции. Опциональный аргумент -p задаёт количество частей, по умолчанию 100.

python SF.py path_to_exe sect section_number
python SF.py path_to_exe sect section_number -p 10

Manual mode

Режим ручного управления. Заданный в параметрах участок, делится на заданное количество частей, каждая перезатирается по очереди. Длина шага равна размеру одной части.

Например, было:

FF FF FF FF FF FF

Стало:

00 00 FF FF FF FF 	
FF FF 00 00 FF FF 	
FF FF FF FF 00 00

Вызов:

python SF.py path_to_exe man offset size part_num

Manual2 mode

Второй ручной режим, отличается от первого длиной шага, который равен одному байту.

Например, было:

FF FF FF FF FF FF

Стало:

00 00 FF FF FF FF 
FF 00 00 FF FF FF 
FF FF 00 00 FF FF

Вызов:

SF.py path_to_exe man2 offset size window_size

signfinder's People

Stargazers

avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar avatar

Watchers

avatar avatar avatar avatar avatar avatar

Forkers

alligator-1 pyq881120 deki0r benheise x0xa eltorobiz twhite96 chronoss3 n0kkster ohio813

signfinder's Issues

Recommend Projects

  • React photo React

    A declarative, efficient, and flexible JavaScript library for building user interfaces.

  • Vue.js photo Vue.js

    🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.

  • Typescript photo Typescript

    TypeScript is a superset of JavaScript that compiles to clean JavaScript output.

  • TensorFlow photo TensorFlow

    An Open Source Machine Learning Framework for Everyone

  • Django photo Django

    The Web framework for perfectionists with deadlines.

  • D3 photo D3

    Bring data to life with SVG, Canvas and HTML. 📊📈🎉

Recommend Topics

  • javascript

    JavaScript (JS) is a lightweight interpreted programming language with first-class functions.

  • web

    Some thing interesting about web. New door for the world.

  • server

    A server is a program made to process requests and deliver data to clients.

  • Machine learning

    Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.

  • Game

    Some thing interesting about game, make everyone happy.

Recommend Org

  • Facebook photo Facebook

    We are working to build community through open source technology. NB: members must have two-factor auth.

  • Microsoft photo Microsoft

    Open source projects and samples from Microsoft.

  • Google photo Google

    Google ❤️ Open Source for everyone.

  • D3 photo D3

    Data-Driven Documents codes.